Detta dokument är ett pågående arbetsmaterial. Innehållet är under utveckling och ska ses som samverkansmaterial, inte som ett beslutat eller fastställt dokument. Formuleringar, beskrivningar och förslag kan komma att ändras under arbetets gång

1. Inledning

Att känna tillit till samverkande parters förmågor att hantera den information som delas enligt gällande lagar, föreskrifter och informationsklassificering möjliggör snabbare, effektivare och tryggare digitalisering.

Reell tillit, det vill säga, bevisad och i praktiken fungerande, är en grundförutsättning för ett säkert och effektivt informationsutbyte. Inom svensk offentlig förvaltning är en villkorslös tillit ofta en oskriven praxis, och inom det privata finns fragmenterade lösningar. Gemensamt är att det inte alltid finns en tydlig definition och modell som kan återanvändas. Tillit är dock alltid en central fråga och en förutsättning för informationsförsörjning av system för en högre grad av automatiserad informationshantering. En återanvändbar hantering av tillit blir därigenom en förutsättning för att möta krav på digitalisering nu och i framtiden.

Tillitshanteringen i lösningen för samordnad identitet och behörighet utformas för att ge förutsättningar för att skapa och vidmakthålla reell tillit avseende samverkande parters och infrastrukturoperatörers förmågan att dels bedriva systematiskt informationssäkerhetsarbete, dels att utforma adekvata skydd för sina tjänster och sin informationsbehandling.

När två parter behöver utbyta information är det ofta krav på att respektive sida behöver säkerställa att motparten är den den utger sig att vara, och att denne är behörig att ta del av den information som delas. Det är informationsägaren som ansvarar för att säkerställa att den part som begär information är behörig. I dessa fall krävs det säkerställd information om vilken organisation, vilket system och eventuellt vilken användare det är som begär åtkomst, samt vad som berättigar åtkomsten . Dessutom kan det krävas information om användarens tilldelade uppdrag eller roll inom organisationen. Det kan också ställas krav på att användaren har en specifik kvalifikation, eller agerar i en legitimerad eller skyddad yrkesroll. Man kan förenklat säga att det är en skala från inget behov alls till ett omfattande underlaget med hög tillförlitlighet som krävs för att ge behörighet. Var på skalan man är för en specifik åtkomst står normalt i direkt proportion till informationens känslighet och behov av skydd.

Inom ramen för detta dokument beskrivs ett ramverk för tillitshantering. Tillitshanteringen ska skapa en struktur för bred återanvändning av gemensamma, generella och överenskomna nivåer av tillit som ska kunna tillämpas för samverkan via digitala tjänster oavsett sektor, verksamhetområde eller typ av information. Den ska ge en gemensam grund för tillit som alla kan acceptera och känna igen sig i. Detta inkluderar krav för att försäkra sig om att förmedling och hantering av identiteter och behörighetsgrundande information sker på ett säkert sätt. I dagens komplexa samverkan, där man ofta behöver hämta och behandla information från flera parter för att stödja verksamhetsbehov, behöver också tilliten kunna upprätthållas i flera led mellan alla parter som tar fram underlaget för åtkomstbeslut.

Tillitshantering innehåller dels en tillitsmodell, dels en realisering av modellen för användning inom Samordnad identitet och behörighet. Tillitshanteringen ska möjliggöra aktiv vidareutveckling och förvaltning av tillitsmärken. När det introduceras digitala tjänster med krav som skiljer sig avsevärt från andras, ska det gå att ta fram nya tillitsmärken. När nya säkerhetshot identifieras, eller nya säkerhetsambitioner stipuleras - då ska ramverket stödja aktiv livscykelhantering för existerande tillitsmärken. Det ska vara lätt för befintliga digitala tillämpningar i samhället att relatera till tillitshanteringen inom Samordnad identitet och behörighet, samt identifiera och genomföra de eventuella förflyttningar som krävs för att kunna erbjuda tillämpningar baserat på den tillitshanteringen.

2. Tillitsmodellen

Den föreslagna modellen utgår ifrån att de olika komponenter som deltar i en samverkan med utbyte av skyddsvärd information, bidrar med olika förmågor vid hantering av metadata, identiteter och behörighetsgrundande information. En grundsten i modellen är tillitsmärken som signalerar tillit och tilldelas komponenterna efter att specifika tillitsskapande krav kopplade till tillitsmärket är uppfyllda. En komponent kan även realisera förmågor med hjälp av under- eller bakomliggande komponenter och representerar då dessa förmågor i infrastrukturen. Vilka tillitsmärken som en specifik komponent således behöver ansöka om att få tilldelade beror på vilka förmågor som den realiserar i infrastrukturen.

2.1. IAM-förmågor och tillitsbärande information

En IAM-förmåga innefattar här både en tekniska förmåga inom identitets- och behörighetsområdet och de verksamhetsprocesser som behövs för att upprätta och underhålla förmågan. IAM-förmågor realiseras av specifika tekniska komponenter och fungerar som byggstenar för tillit vid samverkan som kräver säker hantering av identiteter och åtkomstbeslut.

IAM-förmågorna skapar, behandlar, eller förmedlar information som är strukturerad och man behöver ha tillit till. De idag identifierade typerna av sådan tillitsbärande information är:

Metadata - information om komponent, publicerad av kontrollerad och betrodd part i federationen
Intygsbegäran - en begäran om intygande om identitet, behörighetsstyrande attribut, eller behörighet.
Intyg - betrodda påståenden om en fysisk användare eller systemanvändare såsom identitet, behörighetsstyrande information, eller behörighet.

I modellen som visas i nedanstående bild och efterföljande tabell beskrivs de olika typer av tekniska komponenter, vilka IAM-förmågor de realiserar, samt hur dessa relaterar till olika typer av tillitsfull information.

Komponent	Beskrivning	IAM-förmåga	Beskrivning
Tillitsankartjänst	Ett Tillitsankartjänst är en komponent som utgör den yttersta källan till tillit i en federationsinfrastruktur och publicerar signerad metadata som omfattar godkända underordnade entiteter, som tex Anslutningstjänster och Tillitsmärkestjänster. Det möjliggör validering av tillitskedjor genom kryptografisk signaturvalidering. Parter vars metadata ingår i en tillitskedja som kan valideras upp till samma Tillitsankartjänst anses ingå i samma federation och omfattas av den tillit som Tillitsankartjänsten representerar.	Betrodd Metadatapublicering	Metadatapublicering är en IAM-förmåga som innebär att en komponent på ett kontrollerat, säkert och tillförlitligt sätt publicerar signerad metadata om sig själv – och i vissa fall även om andra entiteter – inom ramen för en federation. Publiceringen sker för att möjliggöra teknisk tillit, interoperabilitet och korrekt tolkning av entitetens roll och kapacitet i federationen. Den metadata som publiceras kan inkludera: Komponentens unika identifierare (entityID) Kryptografiska nycklar för signering och kryptering Endpoints för t.ex. tokenutbyte, autentisering, attributleverans Kontaktuppgifter för teknisk och administrativ hantering Policyinformation och tillitsskapande krav (t.ex. tillitsnivåer, accepterade identitetsintyg)Information om eventuella underordnade entiteter (t.ex. vid hierarkisk federation) Funktionen är central för att federationens övriga parter ska kunna validera, lita på och kommunicera med komponenten på ett säkert sätt.
Anslutningstjänst	En Anslutningstjänst är en mellanliggande komponent i federationsinfrastrukturen som publicerar signerad metadata för underordnade entiteter som tex Identitetsintygstjänster, Åtkomstintygstjänster, E-tjänster och API:er Den möjliggör en delegerad och skalbar struktur för förmedling av tillitsinformation genom att fungera som ett tekniskt och organisatoriskt gränssnitt för anslutning av nya federationstjänster till en eller flera tillitsankartjänster.
Tillitsmärkestjänst	En tillitsmärkestjänst är en komponent i federationsinfrastrukturen som utfärdar tillitsmärken till entiteter som uppfyller definierade krav kopplade till specifika IAM-förmågor. Tillitsmärkestjänster publicerar signerad metadata som innehåller dessa tillitsmärken och agerar som betrodd part inom ramen för den federativa tillitsmodellen.
Uppslag och verifieringstjänst	En uppslag- och verifieringstjänst är en komponent i federationsinfrastrukturen som används för att slå upp, hämta och verifiera metadata för andra entiteter inom en federation. Tjänsten möjliggör tillitsvalidering genom att rekonstruera tillitskedjor, kontrollera signaturer och säkerställa att metadata uppfyller definierade policykrav. Parter vars metadata kan verifieras via en Uppslag- och verifieringstjänst till ett gemensamt Tillitsankare anses omfattas av samma tillit och därmed ingå i federationen	Metadatavalidering	Metadatavalidering är en IAM-förmåga som innebär att en komponent kan hämta, tolka och kryptografiskt verifiera signerad metadata från andra entiteter inom en federation. Denna förmåga är avgörande för att säkerställa att tilliten mellan parter i federationen är tekniskt grundad och uppdaterad. Funktionen omfattar flera moment: Inhämtning av metadata från specificerade källor Kontroll av signaturer och certifikat för att säkerställa att metadata är äkta och oförändrad. Tolkning av metadataformat och extraktion av relevant information Uppdatering av lokal cache enligt angivna regler för livslängd och uppdateringsintervall. Metadatavalidering skapar teknisk tillit genom att identifiera och autentisera entiteter innan någon interaktion sker, och används som grund för vidare beslut inom t.ex. åtkomstbegäran och åtkomstkontroll.
Identitetsintygstjänst	En Identitetsintygstjänst är en komponent i federationsinfrastrukturen som ansvarar för att autentisera en användare. Tjänsten utfärdar digitalt signerade intyg som kan innehålla behörighetsgrundande information, såsom användarens identifierare eller tillitsnivå.	Intygsutfärdande	Intygsutfärdande är en IAM-förmåga som innebär att en komponent på ett tillförlitligt och säkert sätt kan skapa och leverera digitalt signerade intyg. Dessa intyg innehåller påståenden om en användare eller klient, exempelvis vilken nivå av autentisering som har genomförts, vilka attribut som är giltiga och aktuella, eller vilka åtkomsträttigheter användaren är tilldelad. Funktionen utgör en kärna i federativ åtkomsthantering, där beslut om åtkomst ofta baseras på dessa intyg. Förmågan inkluderar inte enbart den tekniska akten att signera data, utan även processer för att säkerställa: att innehållet i intyget bygger på tillförlitlig information, att syftet med intyget är tydligt definierat, att leveransen sker på ett säkert sätt till rätt mottagare.
Åtkomstintygstjänst	En Åtkomstintygstjänst är en komponent som beslutar om och utfärdar information om användares åtkomsträttigheter till digitala resurser, baserat på tillgänglig identitets- och attributinformation. Den skapar intyg som beskriver vilka resurser en användare har rätt att använda, och på vilka villkor.	Intygsutfärdande
Attributkälla	En Attributkälla är en komponent som tillhandahåller information om fysiska användare och systemanvändare, exempelvis roller, organisatorisk tillhörighet eller andra behörighetsgrundande attribut. Den fungerar som en betrodd källa till information som används av andra komponenter, som identitetsintygs- och åtkomstintygstjänster.	Attributhantering	Attributhantering är en IAM-förmåga som innebär att en organisation har kapacitet att säkert förvalta, kvalitetssäkra och tillgängliggöra användarattribut som används som underlag för identitetsverifiering, åtkomstbeslut eller intygsutfärdande. Förmågan omfattar både den tekniska leveransen och det verksamhetsmässiga ansvaret för att attributinformationen är: Korrekt – baserad på tillförlitliga källor och uppdaterad i rätt tid. Relevant – anpassad efter den aktuella användningen och inte mer omfattande än nödvändigt. Aktuell – uppdaterad i takt med att användarens status, roll eller rättigheter förändras. Attributhantering omfattar hela attributets livscykel: från skapande och uppdatering, via lagring och styrning, till selektiv utlämning i rätt sammanhang. Förmågan bygger ofta på samverkan mellan tekniska system (t.ex. katalogtjänster, IAM-lösningar, HR-system) och organisatoriska rutiner (t.ex. kontroll av rolltilldelning och uppdrag)
Resursserver (API)	En Resursserver är en komponent som tillhandahåller åtkomst till skyddade digitala resurser, och som kontrollerar åtkomst baserat på presenterade intyg eller behörigheter.	Åtkomstkontroll	Åtkomstkontroll är en IAM-förmåga som innebär att en komponent kan fatta och tillämpa beslut om en användares eller klients rätt att få tillgång till en specifik digital resurs, baserat på tillgänglig identitets- och behörighetsinformation. Förmågan utgör ett centralt skydd mot obehörig åtkomst och realiserar själva åtkomstbeslutet, ofta i en federerad kontext. Förmågan innebär att komponenten: Mottar ett åtkomstintyg eller en åtkomstbegäran Verifierar att det inkomna intyget är giltigt, korrekt signerat och inte förfalskat. Utvärderar åtkomstintygets eller begärans innehåll mot definierade behörighetsregler och policyer (t.ex. rollbaserade eller attributbaserade regler). I realtid avgörs om en begärd åtkomst ska beviljas eller nekas. Dokumenterar eller loggar åtkomstbeslutet enligt gällande krav. Förmågan kan implementeras både centralt (t.ex. i en åtkomstintygstjänst) eller lokalt (t.ex. i en resursserver eller applikation), beroende på arkitektur och säkerhetsmodell.
E-tjänst	En E-tjänst är en applikation som erbjuder funktionalitet till användare, ofta via en webbläsare.	Åtkomstkontroll
Klient	En Klient är en fristående applikation, eller en del av en E-tjänst som agerar å användarens vägnar, ibland fristående och utan direkt användarinteraktion. Den används exempelvis i automatiserade system, mobilappar eller verksamhetssystem som kommunicerar med API:er för att hämta information eller utföra åtgärder.	Åtkomstbegäran	Åtkomstbegäran är en IAM-förmåga som innebär att en komponent kan initiera en begäran om ett identitetsintyg eller ett åtkomstintyg, i syfte att möjliggöra fortsatt åtkomst till en digital resurs eller tjänst. Förmågan omfattar att formulera och skicka en strukturerad begäran som innehåller tydlig information om: Syftet med begäran (exempelvis åtkomst till en specifik resurs, eller initiering av en autentisering) Vilken typ av intyg som efterfrågas (t.ex. ID-token, attributintyg, access token) Vilket underlag som behövs för intygsutfärdaren att behandla begäran (t.ex. redirect URI, scope, claims, klientidentitet) Förmågan är viktig i federerade miljöer eftersom den formaliserar och initierar flöden som bygger på tillit och verifierbarhet. En korrekt utformad åtkomstbegäran möjliggör tillförlitlig intygsutfärdning, och är därmed en nyckelkomponent i säker och interoperabel åtkomsthantering

2.2. Ena tillitsmärken

Att en teknisk komponent tilldelas ett tillitsmärke innebär att komponenten (och den organisation och verksamhet som ansvarar för komponenten) uppfyller de tillitsskapande krav som krävs för att på ett tillitsfullt sätt kunna utföra eller erbjuda IAM-förmågor. För viss samverkan via digitala tjänster kan det finnas informationssäkerhetskrav som föranleder mer omfattande tillitsskapande krav och detta tänker vi oss ska representeras av nivåindelad tillitsmärkning.

Det finns två olika modeller för hur man kan kombinera tillitsmärken och tillitsnivåer. Antingen har man fristående tillitsmärken för tillitsnivån komponenter erbjuder, eller så har man nivåspecifika tillitsmärken för varje IAM-förmåga. Då vi strävar efter en så enkel modell som möjligt att hantera och administrera för parterna förordar vi i dagsläget fristående tillitsmärken för tillitsnivåer. Vi ser vidare att specifika tillitsmärken endast behövs för att deklarera en specifik (högre) tillitsnivå för hos de komponenter som tillför behörighetsgrundande information och inte för de som endast hanterar existerande information.

Vi föreslår således tillitsmärken som mappar emot IAM-förmågor och tilldelas tekniska komponenter enligt nedanstående bild och tabell.

Komponent	Tillitsmärken
Identitetsintygstjänst	Ena Tillit Intygsutfärdande Ena Tillitsnivå 1, Ena Tillitsnivå 2, Ena Tillitsnivå 3, eller Ena Tillitsnivå 4
Åtkomstintygstjänst	Ena Tillit Intygsutfärdande Ena Tillitsnivå 1, Ena Tillitsnivå 2, Ena Tillitsnivå 3, eller Ena Tillitsnivå 4
Attributkälla	Ena Tillit Attributhantering Ena Tillitsnivå 1, Ena Tillitsnivå 2, Ena Tillitsnivå 3, eller Ena Tillitsnivå 4
Resursserver (API)	Ena Tillit Åtkomstkontroll
E-tjänst	Ena Tillit Åtkomstkontroll Ena Tillit Åtkomstbegäran
Klient	Ena Tillit Åtkomstbegäran

Notera!

Vi föreslår i nuläget inte tillitsmärken för betrodd metadatapublicering och metadatavalidering. Detta då dessa förmågor är grundläggande i tillitsinfrastrukturen och tilliten till dem antas signaleras på annat sätt än genom tillitsmärken.
Ena Tillit Nivå kan inte mappas rakt av mot Svensk e-legitimations LoA-nivåer, men en viss tillitsnivå kan ställa krav på att legitimering av användare skett på ett visst sätt.

2.2.1. Andra tillitsmärken

Inom Ena tillitshantering så regleras endast Enas tillitsmärken enligt ovan. Man kan dock tänka sig att specifika federativa samverkanskontext väljer tillitsmärke som bärare av följsamhetsuppfyllnad av kompletterande tillitskrav samt teknisk följsamhet gentemot ett tekniskt ramverk eller en interoperabilitetsspecifikation.

Vilka möjligheter som kommer ges för andra tillitsmärken än de som Ena ansvarar för att förmedlas via Enas federationsinfrastruktur har inte beslutats om ännu.

2.2.2. Utvikning kring tillitsnivåer

Vi föreslår att behov av en viss tillitsnivå grundar sig i klassningen av den information eller funktion som en digital tjänst behandlar. För detta utgår vi ifrån MSB:s stöd för informationsklassning (Ref: Klassningsmodell, MSB). Identitet och behörighet inom Ena är inte en del av den ursprungliga klassningen utan snarare en säkerhetsåtgärd, men det är rimligt att anta att en given klassning har likvärdiga nivåer på åtgärder och att identitet och behörighet skulle kunna skapa mer generella paketeringar och utgöra en bra grund. Det vill säga att utifrån en klassning av en verksamhets information faller säkerhetsåtgärder ut.

Vidare är det huvudsakligen områdena konfidentialitet (behörighet att ta del) och riktighet (inte kunna förändras av obehöriga) som identitet och behörighet aktivt medverkar till att lösa delar av, även om tillgängligheten är viktig så är det snarare ett krav som verksamhetssystemet eller andra nyttjare ställer på tillämpningen av identitet och behörighet och inte en aktiv del av lösningen i den bemärkelsen. Likheterna mellan konfidentialitet och riktighet avseende identitet och behörighet är att på en stigande skala ökar behovet av att säkerställa vem eller vad det är som har åtkomst till, eller förändrar informationen.

Detta kan synliggöras genom ställa upp värdena i en matris med konfidentialitet och riktighet på axlarna, där det högsta värdet styr utfallet.

K/R	1	2	3	4
4	4	4	4	4
3	3	3	3	4
2	2	2	3	4
1	1	2	3	4

Det vill säga att när antingen konfidentialiteten eller riktigheten överstiger ett visst värde så faller likvärdiga krav och säkerhetsåtgärder ut kopplat till identitet och behörighet.

https://metodstod-informationssakerhet.msb.se/globalassets/exempel-pa-matris-med-konsekvenskriterier-och-konsekvensnivaer-for-riskanalys.png

Vi föreslår att Ena baserar sina tillitsnivåer på stödet "Klassningsmatris A - Fyra nivåer" från MSB med en tolkning av nivåernas innebörd enligt tabellen nedan.

Tillitsnivå	När ska man kräva det och vad innebär det?
1	Ett riktmärke är att konsekvenser ligger på försumbar skada avseende konfidentialitet eller riktighet.
2	Ett riktmärke är att konsekvenser ligger på måttlig skada avseende konfidentialitet eller riktighet.
3	Ett riktmärke är att konsekvenser ligger på betydande skada avseende konfidentialitet eller riktighet.
4	Ett riktmärke är att konsekvenser ligger på allvarlig skada avseende konfidentialitet eller riktighet.

Att omfattningen av konsekvenserna endast är ett riktmärke beror på att samma information skulle kunna ge olika klassningar hos olika aktörer, vilket inte betyder att det är fel på något sätt men det behövs en jämkning. Exempelvis om man tar en ekonomisk skada uttryckt i fasta belopp så kommer organisationens totala omsättning rimligen att styra hur betydande man anser att skadan kan bli. Medans om man uttrycker det i procent skulle man rimligen hamna mer lika. Därav att det inte kan vara mer än ett riktmärke och att dialog mellan parterna i ett större sammanhang behövs där en gemensam bedömning görs.

Krav på nivå av tillit

Varje samverkanstillämpning bör kräva att alla komponenter som ingår i tillitskedjan har ett tillitsmärke motsvarande minst den utifrån informationsklassningen klassade tillitsnivån.

2.3. Tillitsskapande krav

Tillitsskapande krav kan vara av olika karaktär. Inom Enas tillitsarbete har vi identifierat fyra huvudkategorier av tillitsskapande krav:

Organisatoriska krav
Administrativa krav
Fysiska krav
Tekniska krav

Vi har genomfört en analys och sammanställning av tillitsskapande krav ställda inom federationerna Sweden Connect, Sambi, Skolfederation, SITHS och HSA. De olika federationernas tillitsskapande krav överlappar till stor del och vi har föresatt oss att skapa en nettolista av krav i Enas terminologi och anpassade för komponenter som hanterar identiteter och behörighetsgrundande information för samverkan via digitala tjänster inom Ena.

ALLA tillitsskapande krav som stipuleras av något tillitsmärke SKA finnas registrerade med unika identiteter per krav i en gemensam Ena Kravkatalog. Detta innebär att ett enskilt tillitsmärke blir en listning av identiteterna på de krav som omfattas, samt hur efterlevnadskontroll ska genomföras.

Målen med denna påbörjade men ännu inte färdiga övning är flera:

Verksamheter som redan genomgått tillitsgranskning för någon av de genomgångna tillitsramverken ska automatiskt kunna vara kvalificerade för att bli tilldelade nödvändiga tillitsmärken och kunna etablera samverkan via digitala tjänster i Ena.
Digitala tjänster som erbjuds inom någon av de genomgångna federationerna ska kunna erbjuda samma tjänst inom Ena till parter som är anslutna till Enas federationsinfrastruktur.
Existerande federationer ska på sikt kunna luta sig emot Enas tillitsmärken för existerande tillgång till digitala tjänster och därmed minska samhällets totala kostnad för återkommande tillitsgranskningar.

preliminär tidplan

Arbetsmaterialet för en första uppsättning krav och mappningen mellan Enas tillitsmärken och kraven finns att ta del av på undersidan Kravkatalog och Ena tillitsmärken.

Inget på den länkade sidan är dock klart utan uppdateras kontinuerligt ännu.

2.4. Efterlevnadskontroll vid tilldelning och revision av tillitsmärken

En förutsättning för att känna tillit till de parter man etablerar digital samverkan med är att man känner tillit till federationens struktur och processer för tillitshantering. Inom lösningen för samordnad identitet och behörighet har vi byggt en sådan struktur. Strukturen består av:

Ledningsaktören ansvarar för tillitshanteringen i sin helhet.
Federationsoperatörer skapar validerbara tillitskedjor för ett visst federationskontext.
Anslutningoperatörer ansluter parters tekniska komponenter och gör utfästelser om komponenters grundläggande metadata.
Tillitsmärkesägare som gör utfästelser om tillitsgrundande egenskaper hos anslutna parters tekniska komponenter, ofta baserat på någon slags efterlevnadskontroll. Efterlevnadskontrollens utformning beror på vilket tillitsmärke som ska tilldelas.
Tillitsmärkesutfärdare som på uppdrag av tillitsmärkesägare digital stämplar utfästelser om tekniska komponenter och tillför dessa till metadata.

Revision sker för följande relationer:

Ledningsaktören reviderar federationsoperatörer
Federationsoperatörer reviderar sina underordnade anslutningsoperatörer
Federationsoperatörer reviderar tillitsmärkesutfärdare för Ena-tillitsmärkena
Ena-tillitsmärkesägaren reviderar anslutande parter och deras tekniska komponenter

Exakt hur revisionen för punkt 1, 2 och 3 detaljeras inte exakt hur den genomförs. Vi har i det initiala arbetet med tillitshantering fokuserat på att skapa en skalbar och kostnadseffektiv tillitshantering för samverkande parter och deras tekniska komponenter via det vi kallar Ena-tillitsmärken. Vi har utgått ifrån att tilliten till de relativt få infrastrukturaktörer och -komponenter är enklare att etablera då att stora aktörer som Digg, E-hälsomyndigheten, Internetstiftelsen och Inera stå bakom dem. Krav från tillitshanteringsområdets kravkatalog kan med fördel användas i revisionen av dessa aktörer, medan mycket annat behöver regleras via avtal.

Efterlevnadskontroll vid tilldelning och revision av Ena-tillitsmärken (punkt 4) detaljeras av Efterlevnadskontroll – Revision med AI-stöd (arbetsmaterial).

preliminär tidplan

Tillitsmärken som mekanism behöver inte enbart användas för att förmedla tillitsgrundande förmågor. De kan till exempel användas för att markera att kommersiella avtal finns mellan tillitsmärkesägaren och den anslutna parten. Efterlevnadskontroll för denna typ av tillitsmärken regleras inte av Samordnad identitet och behörighet utan av respektive tillitsmärkesägare. Federationsområdesansvariga kan dock ställa krav på tillitsmärkeshanteringen för att de ska tillåtas att användas inom federationsområdet.

2.4.1. Anpassningar för Ena-tillitsmärkenas revision

Då Ena-tillitsmärkena är utfästelser om en ansluten parts och en specifik teknisk komponents tillitsgrundande förmågor inom informationssäkerhet kommer dessa utfästelser kräva återkommande efterlevnadskontroller. Samordnad identitet och behörighet förväntas få tusentals anslutna parter och komponenter och för att kunna etablera en kostnadseffektiv efterlevnadskontroll för Ena-tillitsmärkena krävs följande anpassningar i realiseringen av modellen:

Tillitsmärkesägarrollen realiseras genom en struktur som tillåter ombud.
Revision sker med väl utvecklat systemstöd (AI eller annan typ av expertsystem).

Ombudsstrukturen skapar behov av ytterligare revsioner - tillitsmärkesägare behöver revidera att samtliga sina tillitsmärkesombud. Inte heller denna revision detaljeras exakt hur den genomförs.

3. Exempel på tillämpning av tillitsstrukturen

TODO Från möte 12/6 - det är bra om vi exemplifierar en eller flera tillämpningar av föreslagen struktur.

TODO Förslag på exempel - Regionmedarbetares åtkomst till NLL via Pascal enligt PoCen?

Page tree

Tillitshantering